Role uživatele a oprávnění
Microsoft Defender pro cloud používá řízení přístupu na základě role v Azure (řízení přístupu na základě role Azure) k poskytování předdefinovaných rolí. Tyto role můžete přiřadit uživatelům, skupinám a službám v Azure, abyste uživatelům poskytli přístup k prostředkům podle přístupu definovaného v této roli.
Defender for Cloud vyhodnocuje konfiguraci vašich prostředků a identifikuje problémy se zabezpečením a ohrožení zabezpečení. V programu Defender for Cloud můžete zobrazit informace související s prostředkem, pokud máte některou z těchto rolí přiřazenou k předplatnému nebo skupině prostředků, do které prostředek patří: Vlastník, Přispěvatel nebo Čtenář.
Kromě předdefinovanýchrolích
- Čtenář zabezpečení: Uživatel, který patří do této role, má k Defenderu pro cloud přístup jen pro čtení. Uživatel může zobrazit doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.
- Správce zabezpečení: Uživatel, který patří do této role, má stejný přístup jako čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení.
Doporučujeme, abyste uživatelům přiřadili nejnižší roli potřebnou k dokončení svých úkolů.
Roli Čtenář můžete například přiřadit uživatelům, kteří potřebují jenom zobrazit informace o stavu zabezpečení prostředku bez provedení jakékoli akce. Uživatelé s rolí Čtenář můžou používat doporučení nebo upravovat zásady.
Role a povolené akce
Následující tabulka zobrazuje role a povolené akce v defenderu pro cloud.
| Akce | Čtenář zabezpečení / Čtenář |
Správce zabezpečení | Vlastník přispěvatele / | Přispěvatel | Vlastník |
|---|---|---|---|---|---|
| (Úroveň skupiny prostředků) | (Úroveň předplatného) | (Úroveň předplatného) | |||
| Přidávání a přiřazování iniciativ (včetně standardů dodržování právních předpisů) | - | ✔ | - | - | ✔ |
| Úprava zásad zabezpečení | - | ✔ | - | - | ✔ |
| Povolení nebo zakázání plánů Microsoft Defenderu | - | ✔ | - | ✔ | ✔ |
| Zavření výstrah | - | ✔ | - | ✔ | ✔ |
| Použití doporučení zabezpečení pro prostředek (použití opravy) |
- | - | ✔ | ✔ | ✔ |
| Zobrazení upozornění a doporučení | ✔ | ✔ | ✔ | ✔ | ✔ |
| Doporučení k vyloučení zabezpečení | - | ✔ | - | - | ✔ |
| Konfigurace e-mailových oznámení | - | ✔ | ✔ | ✔ | ✔ |
Poznámka:
I když jsou uvedené tři role dostatečné pro povolení a zakázání plánů Defenderu, aby bylo možné povolit všechny možnosti plánu, které role vlastníka vyžaduje.
Konkrétní role potřebná k nasazení komponent monitorování závisí na rozšíření, které nasazujete. Přečtěte si další informace o komponentách monitorování.
Role používané k automatickému zřizování agentů a rozšíření
Aby mohla role správce zabezpečení automaticky zřizovat agenty a rozšíření používaná v programu Defender for Cloud, používá Defender for Cloud nápravu zásad podobným způsobem jako Azure Policy. Aby bylo možné použít nápravu, potřebuje Defender for Cloud vytvářet instanční objekty, označované také jako spravované identity, které přiřazují role na úrovni předplatného. Například instanční objekty pro plán Defender for Containers jsou:
| Instanční objekt | Role |
|---|---|
| Profil zabezpečení služby Azure Kubernetes Service (AKS) pro zřizování služby Defender for Containers | • Přispěvatel rozšíření Kubernetes •Přispěvatel • Přispěvatel služby Azure Kubernetes Service • Přispěvatel Log Analytics |
| Defender for Containers zřizování Kubernetes s podporou arc | • Přispěvatel služby Azure Kubernetes Service • Přispěvatel rozšíření Kubernetes •Přispěvatel • Přispěvatel Log Analytics |
| Zřizování Služby Azure Policy pro Kubernetes v Defenderu pro kontejnery | • Přispěvatel rozšíření Kubernetes •Přispěvatel • Přispěvatel služby Azure Kubernetes Service |
| Rozšíření zásad zřizování Defenderu pro kontejnery pro Kubernetes s podporou Arc | • Přispěvatel služby Azure Kubernetes Service • Přispěvatel rozšíření Kubernetes •Přispěvatel |
Oprávnění v AWS
Když nasadíte konektor Amazon Web Services (AWS), Defender for Cloud vytvoří role a přiřadí oprávnění k vašemu účtu AWS. Následující tabulka uvádí role a oprávnění přiřazená jednotlivými plány vašeho účtu AWS.
| Plán Defenderu pro cloud | Vytvořená role | Oprávnění přiřazená k účtu AWS |
|---|---|---|
| Správa stavu zabezpečení cloudu v programu Defender (CSPM) | CspmMonitorAws | Pokud chcete zjistit oprávnění k prostředkům AWS, přečtěte si všechny prostředky s výjimkou: konsolidovaná fakturace: freetier: fakturace: platby: fakturování: daň: zbabělec:* |
| Defender CSPM Defender for Servers |
DefenderForCloud-AgentlessScanner | Pokud chcete vytvořit a vyčistit snímky disků (vymezené značkou), "CreatedBy": "Microsoft Defender for Cloud" Permissions: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Oprávnění k EncryptionKeyCreation kms:CreateKey kms:ListKeys Oprávnění pro EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey Kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender for Storage |
SensitiveDataDiscovery | Oprávnění ke zjišťování kbelíků S3 v účtu AWS, oprávnění ke skeneru Defenderu pro cloud pro přístup k datům v kontejnerech S3 Jen pro čtení S3; KmS dešifrování: Dešifrování |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Oprávnění ke zjišťování Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender for Servers | DefenderForCloud-DefenderForServers | Oprávnění ke konfiguraci síťového přístupu JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender pro kontejnery | DefenderForCloud-Containers-K8s | Oprávnění k výpisu clusterů EKS a shromažďování dat z clusterů EKS eks:UpdateClusterConfig eks:DescribeCluster |
| Defender pro kontejnery | DefenderForCloud-DataCollection | Oprávnění ke skupině protokolů CloudWatch, kterou vytvořil Defender for Cloud "logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy Oprávnění k používání fronty SQS vytvořené defenderem pro cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender pro kontejnery | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Oprávnění pro přístup k streamu pro doručování dat Kinesis Data Firehose, který vytvořil Defender for Cloud firehose:* |
| Defender pro kontejnery | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Oprávnění pro přístup k kbelíku S3 vytvořenému defenderem pro cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Oprávnění ke shromažďování dat z clusterů EKS Aktualizace clusterů EKS pro podporu omezení IP adres a vytvoření aplikace iamidentitymapping pro clustery EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | Oprávnění ke skenování obrázků z ECR a ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | Oprávnění k instalaci Služby Arc ve všech instancích EC2 pomocí SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Oprávnění ke zjišťování instancí RDS v účtu AWS, vytvoření snímku instance RDS – Výpis všech databází a clusterů RDS – Výpis všech snímků databáze nebo clusteru – Kopírování všech snímků databáze nebo clusteru – Odstranění, aktualizace snímku databáze nebo clusteru s předponou defenderfordatabases - Výpis všech klíčů Služby správy klíčů – Všechny klíče Služby správy klíčů používejte jenom pro RDS ve zdrojovém účtu. – Výpis klíčů Služby správy klíčů s předponou značky DefenderForDatabases – Vytvoření aliasu pro klíče Služby správy klíčů Oprávnění potřebná ke zjišťování instancí vzdálené plochy rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource Kms:ListGrants kms:DescribeKey kms:PutKeyPolicy Kms:Encrypt kms:CreateGrant Kms:EnableKey Kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias Kms:UpdateKeyDescription |
Oprávnění pro GCP
Když připojíte konektor GCP (Google Cloud Platforms), Defender for Cloud vytvoří role a přiřadí oprávnění k projektu GCP. Následující tabulka ukazuje role a oprávnění přiřazená jednotlivými plány projektu GCP.
| Plán Defenderu pro cloud | Vytvořená role | Oprávnění přiřazená k účtu AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Tato oprávnění umožňují roli CSPM zjišťovat a kontrolovat prostředky v organizaci: Umožňuje roli zobrazovat a zobrazovat organizace, projekty a složky: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Umožňuje proces automatického zřizování nových projektů a odebrání odstraněných projektů: resourcemanager.projects.get resourcemanager.projects.list Umožňuje roli povolit služby Google Cloud používané ke zjišťování prostředků: serviceusage.services.enable Používá se k vytváření a výpisu rolí IAM: iam.roles.create iam.roles.list Umožňuje, aby role fungovala jako účet služby a získala oprávnění k prostředkům: iam.serviceAccounts.actAs Umožňuje roli zobrazit podrobnosti projektu a nastavit běžná metadata instance: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Přístup jen pro čtení pro získání a výpis výpočetního modulu resources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Oprávnění k automatickému zřizování služby Defender pro databáze ARC compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender for Storage |
data- security-posture-storage | Oprávnění pro cloudový skener Defenderu pro zjišťování kontejnerů úložiště GCP pro přístup k datům v kontejnerech úložiště GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender for Storage |
data- security-posture-storage | Oprávnění pro cloudový skener Defenderu pro zjišťování kontejnerů úložiště GCP pro přístup k datům v kontejnerech úložiště GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Oprávnění k získání podrobností o prostředku organizace resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender for Servers |
MDCAgentlessScanningRole | Oprávnění ke kontrole disků bez agentů: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender pro servery |
cloudkms.cryptoKeyEncrypterDecrypter | Oprávnění k existující roli GCP KMS jsou udělena pro podporu skenování disků, které jsou šifrované pomocí CMEK. |
| Defender CSPM Defender pro kontejnery |
mdc-containers-artifact-assess | Oprávnění ke skenování obrázků z GAR a GCR artifactregistry.reader storage.objectViewer |
| Defender pro kontejnery | mdc-containers-k8s-operator | Oprávnění ke shromažďování dat z clusterů GKE Aktualizujte clustery GKE tak, aby podporovaly omezení IP adres. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update, container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender pro kontejnery | microsoft-defender-containers | Oprávnění k vytvoření a správě jímky protokolu pro směrování protokolů do tématu Cloud Pub/Sub logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender pro kontejnery | ms-defender-containers-stream | Oprávnění k povolení protokolování odesílání protokolů do podsítě pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Další kroky
Tento článek vysvětluje, jak Defender pro cloud používá řízení přístupu na základě role Azure k přiřazení oprávnění uživatelům a identifikaci povolených akcí pro každou roli. Teď, když jste obeznámeni s přiřazeními rolí potřebnými k monitorování stavu zabezpečení předplatného, úpravě zásad zabezpečení a použití doporučení, zjistěte, jak: